Forscher decken Sicherheitslücke bei TLS-Verschlüsselung in Java auf
Düsseldorf, 25.04.2014 12:01 Uhr (Wirtschaftsredaktion)
Forscher des Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität haben drei Schwachstellen bei Java entdeckt. Anwender, die Java Secure Socket Extension (JSSE) einsetzen, sollten die aktuellen Softwareupdates installieren.
Das Forscher-Team um Prof. Dr. Jörg Schwenk rät, die Updates für Anwendungen, die JSSE nutzen, schnell zu installieren.
Wie OpenSSL ist auch JSSE für Java eine TLS-Implementierung; Oracle stellt sie als Open Source-Software zur Verfügung. Über zwei der drei entdeckten Schwachstellen in JSSE konnten die IT-Sicherheitsforscher die Verschlüsselung mittels TLS komplett brechen. Sie informierten Oracle über die Sicherheitslücken, bevor sie diese öffentlich machten.
JSSE war anfällig für sogenannte Bleichenbacher-Angriffe. Die Forscher mussten einmal eine verschlüsselte Verbindung zwischen Server und Client – etwa einem Web-Browser – aufzeichnen. Anschließend stellten sie ein paar tausend Anfragen an den Server. Aus den Antworten des Servers konnten sie den Schlüssel berechnen und den aufgezeichneten Datenaustausch zwischen Server und Client entschlüsseln. Bei der ersten Schwachstelle gab der TLS-Server über Fehlermeldungen kritische Informationen weiter. Die zweite Schwachstelle basierte auf unterschiedlichen Antwortzeiten des JSSE-Servers. Bleichenbacher-Angriffe zählen zu den komplexesten kryptografischen Angriffen, den sogenannten adaptiven Chosen-Ciphertext-Angriffen.
Mit dem April-Patch fixt Oracle einen weiteren kryptografischen Algorithmus (PKCS#1 v2.1, auch bekannt als RSA-OAEP), der ebenfalls für einen adaptiven Chosen-Ciphertext-Angriff anfällig war, wie das Bochumer Team zeigte. Dieser Algorithmus steht nicht mit TLS in Zusammenhang, wird aber in anderen Anwendungen wie Web Services eingesetzt.
(Quelle: Ruhr-Universität Bochum)

Computer Software
* Bitte halten Sie sich an die Netikette und vermeiden persönliche Anschuldigungen, Beleidigungen und Ähnliches. Verbreiten Sie außerdem keine Unwahrheiten, Vermutungen, Gerüchte sowie rufschädigende oder firmeninterne Informationen. Beachten Sie die Rechte Anderer und urheberrechlich geschützter Quellen. Bei rechtlichen Verstößen haften Sie in vollem Umfang. Aus diesem Grund sind wir gezwungen, Ihre IP-Adresse und Ihren Provider zu speichern. Mit dem Speichern Ihres Kommentars erklären Sie sich mit diesen Regelungen einverstanden.
- Neue KfW Gründerplattform inkl. Tools für Geschäftsmodelle und Businessplan
- Börse Stuttgart bietet Trading mit Kryptowährungen wie Bitcoin oder Ether
- Destination Innovationen | DIHK Kongress zu den Themen BID und Smart City
- Digitale Finanzkommunikation | Symposium der Fachhochschule St. Pölten
- Datenschutzrecht | Facebook erzürnt Digital-Ausschuss im Bundestag

Onlineausgabe des Printmagazins Finanzen Markt & Meinungen.
Portalsystem 2018 © FSMedienberatung